C’était il y a 8 ans mais Camille* n’a jamais oublié cette journée d’enfer. Ce matin de la mi-janvier 2009, l’expert informatique du ministère de la Défense est appelé en urgence « pour régler un problème avec la Marine nationale ». Le militaire obéit mais quand il arrive au centre de commandement des opérations, il comprend vite qu’il n’est pas là pour réparer la connexion wifi. « C’était la pagaille ! 55 000 ordinateurs hors service, le réseau de diffusion restreinte à plat, les PC à terre, les PC embarqués. Bref, la presque totalité du parc informatique de la marine à l’arrêt », sue-t-il encore, dans ce café parisien où il a accepté de nous rencontrer. Le moment est particulièrement mal choisi, la Navale est au beau milieu d’une opération : « Les Rafales n’ont pas pu décoller… Quand aux bateaux, ils ont fini par communiquer avec la télégraphie, après ça il n’y avait plus que les pigeons voyageurs pour nous sortir de là ! ». A l’époque, le porte-parole du ministère n’a pas la même version que l’expert informatique… Il ne nie pas la panne, mais il jure qu’elle n’a affecté aucune activité opérationnelle.

Et pour ne rien gâcher à ce scénario digne d’un film catastrophe, le couac aurait été le résultat non de l’attaque d’une nation ennemie mais de la maladresse d’un haut gradé de la base navale de Toulon. Ce dernier aurait introduit par inadvertance une clef usb personnelle infectée sur le réseau interne de la marine, Intramar. Il n’en faut pas plus au virus Conficker qui a déjà fait plusieurs millions de victimes dans le monde, pour se répandre sur terre, en mer… Bonne nouvelle : l’attaque ne visait par l’armée française. Mauvaise nouvelle, en revanche : Conficker, un virus qui exploite une faille de Windows, avait été conçu pour infecter exclusivement les ordinateurs Microsoft… le principal fournisseur de la Navale.

Huit ans plus tard, alors qu’une cyberattaque massive – exploitant une faille de Windows XP – vient de bloquer des dizaines de milliers d’ordinateurs dans le monde, la défense comme les administrations françaises ne semblent pas avoir retenu les leçons du fiasco Intramar. En mai 2017 Wanacrypt, un logiciel malveillant utilisant une faille exploitée par la NSA et dévoilée par un groupe de hackers, pénétrait les passerelles de sécurité et rançonnait (300$ pour récupérer ses données) notamment le service national de santé britannique, Renault, ou encore le ministère des Affaires étrangères russe. Les administrations françaises qui ne travaillent majoritairement plus sous Windows XP, semblent, quant à elle, avoir été épargnées (« moins d’une dizaine d’entreprises privées ont été touchées, mais la situation peu évoluer » confirmait l’Agence nationale de la sécurité des systèmes d’information, interrogée à l’époque). Ce n’est que partie remise, croit savoir ce fonctionnaire du ministère de l’Intérieur : « Si l’attaque avait visé Windows 7 ou 10, les conséquences auraient été désastreuses ».

« Aujourd’hui c’est encore pire qu’en 2009 », jure Camille au ministère de la défense. Si une attaque comme celle de Conficker se produisait, cette fois ce serait les 200 000 PC de la Défense qui seraient infectés. Car « à quelques exceptions près -les sous-marins nucléaires par exemple- l’ensemble du système est aujourd’hui relié à internet et désormais toute la Défense est sous Microsoft ». De nouvelles attaques ont donc été enregistrées ? « Des attaques, il y en a tout le temps, dans 99 % des cas les hackers utilisent des failles Microsoft pour traverser la passerelle de sécurité. Pour vous donner un exemple de la vulnérabilité des outils comme la messagerie Outlook, en 2016, l’Annudef’ (l’annuaire du ministère de la Défense) a été téléchargé deux fois et on ne sait toujours pas par qui ». Interrogé, le ministère de la Défense n’a pas donné suite. « Les Chinois et les Américains développent leurs propres réseaux, s’énerve Camille, nous, avec Microsoft, on a donné les clefs à une entreprise américaine qui travaille avec la NSA. Bref, ce qui est aujourd’hui l’administration Trump ! »

Un nouveau contrat évalué à 120 millions sans appel d’offre

Et ce n’est pas fini. D’après un document interne (cf. ci-dessous) que nous nous sommes procuré, le ministère de la Défense renouvellera son contrat avec la firme de Redmond le 25 mai prochain. Une signature effectuée dans la plus grande discrétion mais qui se négocie pourtant depuis un an et demi (le 2 décembre 2015). « Windows III » -le nom du 3e contrat- n’est pas public mais son montant devrait s’élever au moins à 120 millions d’euros, d’après un document interne de la DIRISI (Direction interarmées des réseaux d’infrastructures et des systèmes d’information de la Défense)

La première version de ce contrat, dit « Open bar » car il permet au ministère de la Défense de piocher librement dans l’offre de logiciels Microsoft (pour 100 euros HT/poste), passé sans mise en concurrence et contre l’avis des experts, avait été vivement critiqué à sa signature en 2009. Mais la commission des marchés publics de l’État (CMPE), avait validé ce contrat signé de « gré à gré » pour 82 millions d’euros. Cette dernière avait encore donné son aval en 2013, au moment de son renouvellement. Toutefois, cette commission ayant été abrogée juste après, en juin 2013, on se demande bien comment cette fois, le ministère de la Défense va pouvoir justifier « Windows III ». Une validation qui semble indispensable puisque le montant du contrat a augmenté de 31 % par rapport à 2009. Le ministère n’a pas donné suite, non plus.

Le rapporteur de la première Commission, Georges Rozen, lui, a bien une réponse : « C’était déjà illégal à l’époque, je ne vois pas pourquoi cela le serait moins aujourd’hui ! On m’a demandé de valider la décision politique émanant d’un cabinet, j’ai refusé, mais on ne m’a pas écouté ». L’expert que nous rencontrons dans son appartement parisien ne mâche pas ses mots : « Il n’y avait aucune raison de favoriser Microsoft, ils n’ont pas le monopole du traitement de texte… On était dans un délit de favoritisme, ce contrat aurait dû passer par une procédure de marché public, ça relève du pénal. Ce contrat aurait dû finir devant un tribunal, mais personne n’a osé ».  Difficile de ne pas s’interroger sur cette préférence que semble avoir le ministère pour les produits de la firme de Redmond. Plusieurs experts interrogés et quelques articles de presse avancent que Balard serait tenu de souscrire aux offres de Microsoft pour des raisons d’interopérabilité avec l’OTAN (la capacité des systèmes informatiques à fonctionner avec ceux de l’organisation internationale). Pourtant, à la lecture des documents ci-après, il semble que l’engagement commercial de l’OTAN et de la Défense française avec Microsoft n’ait pas toujours été une évidence. Et des contre-exemples existent : l’armée italienne a sérieusement engagé sa migration vers Linux, et jusqu’à présent elle en est toujours un membre important.

Microsoft, désormais le premier fournisseur de logiciels de l’Etat

Le ministère de la Défense n’est pas la seule administration française à avoir signé avec le Tycoon américain. À l’exception notable de la Gendarmerie nationale – qui au prix d’une bataille ardue a entièrement migré sous Linux -, l’ensemble des ordinateurs des ministères français roulent désormais sous système d’exploitation Windows. Ces dernières années, certains d’entre-eux ont même suivi les traces du ministère de la Défense en passant également des accords spécifiques, à l’instar des ministères de la Culture (un contrat de deux millions, en novembre 2016), les ministères sociaux -Travail, Jeunesse et Sports, Santé- (11,8 millions, janv. 2014), de l’Education nationale (convention de mécénat, 13 millions d’euros, 2015). Aucun d’entre eux n’a jugé bon d’avoir recours à une procédure d’appel d’offres. Et fiscalité attractive oblige, tous les contrats (sauf mécénat) on été passés non pas par Microsoft France, mais par sa filiale irlandaise Microsoft Ireland Operations LTD. D’après une source interne au ministère des Finances, l’éditeur de logiciel américain serait désormais « le premier fournisseur de logiciels de l’Etat » (La source cite notamment les données qu’elle a pu récolter dans le logiciel de comptabilité interne Chorus : « Hors ministère de la Défense qui a son propre contrat « open bar », or licences OEM, l’État aurait dépensé entre 2010 et 2013, entre 48,3 millions et 42,7 millions d’euros par an – auxquels il faut ajouter les 5 millions/an des licences OEM »).

Des dizaines de millions chaque année, sans mise en concurrence, et autant d’administrations désormais liées à la firme la plus vulnérable aux attaques du monde. Un phénomène qui est observé dans toute l’Europe. Du Portugal à la Finlande, de la Grèce à l’Irlande, les services informatiques des administrations publiques travaillent désormais avec les systèmes d’exploitation Microsoft. Au point que la Commission Européenne convient elle-même que l’Europe est dans une « captivité effective avec Microsoft » (effective captivity). Un choix intriguant quand on sait que la firme a été la première à collaborer avec la NSA, selon les révélations d’Edward Snowden. Mais si les responsables informatiques de plusieurs administrations, soumis à l’obligation de réserves des fonctionnaires, ont accepté de parler à Investigate Europe, c’est que désormais ils savent qu’avec Donald Trump aux manettes, les risques pour l’État français sont décuplés. « Si demain Trump décide d’appuyer sur un bouton, il éteint tout le pays. Il peut aussi appuyer sur ‘record’, mais ça ils le font déjà », ironise un responsable informatique du ministère de l’Education. Le risque est là, mais Microsoft a des arguments convaincants.

Des liens très serrés

« Les signatures de ces contrats sont des décisions politiques qui émanent des cabinets, souvent contre l’avis des experts, comme dans le cadre du contrat Open bar ministère de la Défense, commente l’APRIL, l’Association de défense du logiciel libre. Il faut dire que les lobbyistes de Microsoft ont de très bonnes relations dans les ministères ». Le Canard Enchaîné et l’April avaient déjà souligné les liens très proches entre la firme de Redmond et certains élus. Ainsi le directeur des affaires publiques et juridiques de Microsoft est un ancien collaborateur de Robert Badinter, élu et militant socialiste. Un important lobbyiste chez Microsoft depuis janvier 2014 a été collaborateur parlementaire de trois sénateurs socialistes. Quant au directeur de l’innovation au sein de la division des services de Microsoft, il a œuvré au cabinet de trois ministres de l’Éducation nationale : Claude Allègre, Ségolène Royal et Jack Lang. Mais la liste est plus longue… On note également que l’ancienne « directeur law et corporate affairs » chez Microsoft a fait ses armes chez « SOS Racisme » avant de rejoindre l’équipe parlementaire de Claude Bartolone, ancien ministre de la Ville et président de l’Assemblée nationale. Ce dernier lui remettra d’ailleurs lui-même la légion d’honneur en 2013, en présence de Fleur Pellerin, ministre déléguée en charge des PME, de l’innovation et de… l’économie numérique. À la Défense, un nom circule aussi régulièrement : celui de l’ancien directeur adjoint de la DGSIC et ingénieur de l’armement, l’artisan principal du contrat Open bar, aujourd’hui en charge du « Secteur public-marché Défense » chez Sopra, partenaire de Microsoft. Interrogés, ni Microsoft France ni ces deux derniers n’ont accepté de répondre à nos questions.

Ces liens étroits ne sont pas surprenants pour un ancien lobbyiste de Microsoft qui a accepté de répondre à nos questions sous couvert d’anonymat : « Cela se passe dans le strict respect de la réglementation. Après, il y a des relations humaines qui opèrent. On rencontre les élus dans les cafés autour de l’Assemblée nationale et du Sénat ». Le professionnel n’hésite pas à citer le nom d’un ancien ministre qui a dû récemment démissionner qui pratique le même hobby que lui :  « C’est un copain, quand j’ai besoin d’un contact, je l’appelle. » Si on le croit, le lobbying auprès des élus opère aussi plus insidieusement : « Ce n’est pas un hasard, quand un parlementaire ouvre son ordinateur, il voit Windows…». Le professionnel n’est d’ailleurs pas le seul à opérer dans les hautes sphères de l’État : « Bill Gates ? Moi je ne l’ai pas fait venir mais d’autres l’ont fait venir à l’Elysée à l’époque de Sarkozy. La France, dans l’esprit de Bill Gates, c’est important, pas seulement pour le montant des contrats, mais pour le français, c’est la troisième langue au monde ». Le fondateur emblématique de Microsoft a passé le flambeau depuis 2014, mais il continue à avoir ses entrées à l’Elysée pour le travail qu’il effectue avec sa fondation. Le couple Gates vient d’ailleurs d’être décoré de la légion d’honneur le 24 avril dernier par le président Hollande… himself.

Mécénat à l’Education nationale

François Hollande avait déjà reçu son successeur, Satya Nadella, le 9 novembre 2015. Ce dernier venait signer un chèque de 83 millions d’euros d’investissement pour « La French Tech ». Mais pas seulement : à la surprise générale, dans la valise du magnat de l’informatique se trouvait également un cadeau en nature pour l’Education nationale. Des formations sur du matériel Microsoft pour les enseignants et les élèves de France, d’une valeur estimée -par Microsoft- à 13 millions d’euros. « Une manière de faire massivement entrer Microsoft dans les écoles françaises, d’habituer les élèves et les enseignants à travailler sur le matériel de la marque », rectifie la présidente d’Edunathon, le collectif d’associations qui s’est monté en réaction à l’opération de mécénat. Peu importe, « la convention » de 18 mois est signée 15 jours plus tard entre la ministre Najat Vallaud-Belkacem et le président de Microsoft France, le 26 novembre 2015.

Quant à la direction du service informatique du ministère, elle est mise devant le fait accompli. Dans son bureau du ministère, Mathieu Jeandron, son directeur, se rappelle l’évènement : « Personne n’était au courant. On m’a prévenu un petit peu après la visite de Satya Nadella, parce qu’on devait travailler sur le texte de l’accord ». Réactif, le service de Jeandron se rend compte qu’un point sensible n’est pas abordé : la protection des données des élèves et des enseignants. Un article est finalement ajouté qui prévoit la signature d’une charte par Microsoft. C’était il y a un an et demi… Au mois de mars 2017, ladite charte était toujours « en discussion à la CNIL ». Le plus drôle ? La convention arrive à son terme à la fin du mois de mai. « Même si elle n’est pas encore signée, rassure Mathieu Jeandron, nous avons obtenu que la messagerie soit hébergée sur les serveurs de l’Education nationale ». Nouveau hic : « Malheureusement nous n’avons pas pu le faire pour les services du cloud ». Les données stockées en ligne par les élèves et les enseignants… Regrettable.

Employés à demeure et adresses email maison

Mais parfois Microsoft n’a pas besoin de contrat pour franchir la porte des ministères. C’est ce dont s’est aperçu cet employé du service informatique du ministère de l’Intérieur. « Il y a régulièrement des employés de Microsoft dans nos bureaux, mais lui n’était pas identifié, ce qui est un problème quand on travaille dans un service avec des données sensibles », raconte-t-il. C’est le moins que l’on puisse dire : Julien G., consultant chez Microsoft depuis 2010 peut-on lire sur son profil Linkedin, dispose d’une adresse email maison. Avec un @interieur.gouv.fr accolé à son nom, le commun du ministère ne pouvait qu’ignorer que Julien G. était un employé de Microsoft « qui envoyait des instructions pour installer Windows 10 ». Le fonctionnaire intrigué par le lobbying insistant de son collègue, finit par tirer l’affaire au clair : « J’ai vu passer une facture à 0 euros à son nom sur le logiciel de comptabilité interne Chorale, j’ai compris qu’il n’était donc pas payé par le ministère ». Ce dernier n’a pas donné suite à notre demande d’interview.

À la Défense, un ministère aux données toutes aussi sensibles, cette pratique surprenante semble aussi avoir cours. Dans plusieurs documents internes de Microsoft que nous nous sommes procuré, nous nous sommes aperçu qu’au moins trois personnes employées de Microsoft -dont certains haut-placés- disposait également d’un email @Intradef.gouv.fr. Une simple formalité ? Un accès au réseau interne de Balard ? Le ministère n’a pas souhaité répondre mais Microsoft ne semble pas apprécier qu’on désactive parfois ces courriels… Dans un autre document, la firme se plaint « que les comptes @Intradef utilisés par ses intervenants sont toujours désactivés temporairement et que cela peut engendrer un retard dans les différentes missions qui lui sont confiées ». Pourquoi se gêner ? « Je ne savais pas qu’ils avaient des adresses emails intradef, répond Camille, mais plus rien ne me surprend, aujourd’hui, dans nos ministères, Microsoft est comme à la maison ».

---

Cette enquête a été publiée sur le site de notre média partenaire Marianne, avec l’aide de Loïc Tanant (Cash Investigation)